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PROCEDE ET SYSTEMS DE GESTION DU RISQUE 
DANS UN RESEAU DE TELEPHONIE MOBILE 

L' invention concerne les reseaux de telephonie 
mobile et, plus particulierement dans de tels reseaux, 
un procede et un systeme pour gerer le risque encouru 
par l'operateur du reseau de telephonie mobile en 
presence d'usagers susceptibles d 1 outrepasser leurs 
droits ou d' operations anormales. 

Un systeme de telephonie mobile du type GSM 
(acronyme de 1' expression anglo-saxonne Group Special 
Mobile) , comprend un reseau de telephonie mobile, gere 
par un operateur, qui permet de connecter entre eux des 
usagers munis chacun d'un combine mobile ME (acronyme 
de 1 ' expression anglo-saxonne "Mobile Equipment" ) , 
chaque combine comprenant notamment une carte a puce 
electronique SIM (acronyme de 1» express ion anglo- 
saxonne "Subscriber Identification Module"). 

Dans un tel systeme de telephonie mobile, il est 
prevu un certain nombre d» operations pour authentifier 
la carte SIM par le reseau, au moment de la mise en 
marche du combine, ainsi qu*a tout autre moment de la 
communication telephonique . 

A cet effet, le procede d'authentif ication comprend 
les etapes suivantes consistant a : 

(1) remettre a zero la carte par le combine ou 
appareil mobile ME et transmettre l'identite de la 
carte SIM au reseau, 

(2) obtenir du reseau un nombre aleatoire NA a la 
demande du combine ME, 

(3) transmettre le nombre aleatoire NA a la carte 
SIM par le combine ME, 

(4) calculer dans la carte SIM un premier 
certificat cryptographique CC1 ou cryptrogramme selon 
un algorithme predefini AL, a partir du nombre 
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aleatoire NA fourni par le rfeseau et d'une cl6 secr&te 
CS interne & la carte SIM, 

(5) transmettre au r6seau, via le combine ME, le 
premier certificat cryptographique CC1 calcuie par la 

5 carte SIM, 

(6) calculer un deuxi&me certificat cryptographique 
CG2 par le r6seau selon le meme algorithme Al» que celui 
de la carte SIM, £ partir du noxnbre aleatoire NA envoy6 
a la carte SIM et de la cl6 interne secrete CS qui est 

10 connue du r6seau par l 1 identity de la carte SIM, 

(7) comparer le deuxi&me certificat cryptographique 
CC2 au premier certificat cryptograph ique CC1 et, 

(8) autoriser la transaction si la comparaison est 
positive ou l'interdire dans le cas contraire. 

15 un tel proc6d6 d'authent if ication permet de 

verifier que le porteur du combing ME auquel la carte 
SIM est associfee est bien autoris6 & entrer en 
communication par 1 1 intermfediaire du rfeseau, Cependant, 
ce proc§d6 ne permet pas de prendre en compte d'autres 

20 conditions qui seraient a remplir pour autoriser une 
entree en communication. L'une des conditions 
supplement a ires & remplir pourrait etre, dans le cas 
d'une carte 4 pr6paiement, que le montant restant au 
credit du porteur du combine soit sup6rieur & un 

25 certain seuil predetermine, cette condition tendant k 
limiter le risque d'un d6faut de paiement eventuel. 

Par ailleurs, les procedes d'authentif ication mis 
en oeuvre actuel lenient ne permettent pas de detect er 
des demandes d'accSs r6p6tees d'un fraudeur & l'aide 

30 d*un combine vol6 et, a fortiori, de bloquer cet acc&s 
aprds un certain nombre de demandes d'accds* 

Un but de la presente invention est done, de mettre 
en oeuvre un procede d 1 authentif ication d'une carte 
d'abonne 4 un r6seau de telecommunications qui permet 

35 de prendre en compte diff6rentes conditions, 



eventuellement evolutives, de maniere a gerer ou 
limiter les risques encourus par l^operateur en 
autorisant l'acces au reseau. 

Ce but est atteint en introduisant des moyens dans 
la carte SIM du combine et dans le serveur du reseau ; 
ces moyens communiquent entre eux par des messages 
transmis sur une voie de telecommunication de service 
telle que celle utilisee actuellement pour le service 
des Messages Courts, plus connu sous l'acronyme anglo- 
saxon SMS pour "Short Message Service". 

L' invention concerne done un systeme de gestion du 
risque dans un reseau de telephonie mobile equipe d«un 
dispositif de service de messages, les combines mobiles 
comportant chacun une carte a puce electronique SIM 
capable de calculer un certificat cryptographique 
d' authentication a partir d'une valeur fournie par le 
reseau, caracterise : 

- en ce que la carte a puce electronique comprend 
des moyens pour autoriser ou non le calcul d'un 
certificat cryptographique et sa transmission au reseau 
lorsque certaines conditions sont remplies ou non et 
pour transmettre au reseau un message de demande 
devaluation du risque lorsque d'autres conditions sont 
remplies, et 

- en ce que le reseau comprend des moyens pour 
e valuer ledit risque en fonction des informations 
contenues dans le message de demande d' evaluation du 
risque et de parametres specif iques 4 l'utilisateur du 
combine mobile et pour envoyer un message auxdits 
moyens de la carte a puce electronique pour autoriser 
ou non le calcul et la transmission du certificat 
cryptographique . 

L« invention concerne egalement un procede pour 
mettre en oeuvre le systeme de gestion du risque defini 
ci-dessus, caracterise en ce qu'il comprend, dans la 
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carte a puce dlectronique, les Stapes suivantes 
cons is tan t & : 

(a) verifier l'6tat bloque ou non de la carte d 
puce £lectronique pour refuser ou non la demande 

5 d ■ authentif ication ; 

(b) dans le cas d f autorisation de la demande 
d' authentif ication, compter le nombre N de demandes 
d* authentif ication de la carte & puce £lectronique par 
le r£seau, 

10 (c) comparer le nombre N de demandes 

d 1 authentif ication a un premier seuil TO, 

(d) calculer un certificat cryptographique si 
N < TO et le transmettre au r&seau, 

(e) comparer le nombre N & un deuxi&me seuil Tl si 
15 N £ TO, 

(f) mettre la carte & puce eiectronique a l ! 6tat 
bloquS si N £ Tl, et 

(g) calculer un certificat cryptographique et 
6 laborer un message de demande d 1 evaluation du risque 

20 et les transmettre au rSseau si TO < N £ Tl. 

Le proc£d6 ci-dessus est caract£ris& en ce que, 
dans le r£seau, il comprend les Stapes suppl&nentaires 
suivantes consistant hi 

(h) analyser le message de demande devaluation du 
25 risque transmis par la carte & puce Slectronique, 

(i) 6 valuer le risque en fonction des rSsultats de 
1* analyse selon 1'Stape pr6c&dente (h) et de param&tres 
sp&cifiques & 1 1 utilisateur du combin6 mobile, et 

(j) 6 laborer un message de rSponse et le 
30 transmettre & la carte & puce Slectronique. 

D 1 autres caract£ristiques et avantages de la 
pr£sente invention apparaitront Sl lecture de la 
description suivante d'un exemple particulier de 
realisation, ladite description 6tant faite en relation 
35 avec les dessins joints dans lesquels : 



- la figure 1 est un diagramme montrant 
schfematiquement les flux d • informations entre les 
diff6rents 6 laments du r6seau de t616phonie mobile, 

- la figure 2 est un diagramme fonctionnel d'un 
module de gestion du risque associ6 & la carte a puce 
Slectronique d'un combin£ mobile, et 

- la figure 3 est un diagramme fonctionnel d'un 
module de gestion du risque associ6 au r&seau de 
t616phonie mobile. 

Un r6seau de t616phonie mobile comprend 
sch6matiquement trois parties A, B et C qui sont 
d61imit6es verticalement par deux traits pointings 10 
et 12. 

La partie centrale B correspond a la transmission 
bilat6rale radiofelectrique des communications, entre un 
combine mobile 14 (ou ME) et une station de base 16 (ou 
BS correspondant & l^cronyme de 1" express ion anglo- 
saxonne "Base Station") associfee a un fequipement de 
messagerie 18 (ou SMSC correspondant & l'acronyme de 
l 1 expression anglo-saxonne "Short Message Service 
Center") qui fournit le service SMS (acronyme de 
1* expression anglo-saxonne "Short Message Service") 
d&fini ci-dessus dans le pr6ambule. 

La partie C correspond au rfiseau de t616phonie 
mobile 54 et comprend notamment un systSme de 
commutation 20 (ou MSG pour 1" expression anglo-saxonne 
"Mobile Switching Center"), un module d'enregistrement 
des abonn6s 50 (ou HLR pour l 1 expression anglo-saxonne 
"Home Location Register") et un module 
d'authentif ication 52 (ou AC pour 1» expression anglo- 
saxonne "Authentication Center") . Le module 
d • enregistrement d'abonnSs 50 contient les 
caract&ristiques identifiant chacun des abonn€s. Le 
module d»authentif ication 52 contient la cl6 secrfete CS 
de chaque abonn6, 6met des nombres al6atoires NA, 
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calcule les certif icats cryptographiques CC2 et compare 
le certificat cryptographique CC2 au certificat 
cryptographique CC1 calcuie par la carte SIM. 

La partie A correspond a tax caracteristiques de 
5 I'abonne au reseau et comprend une carte SIM 22 qui est 
mise en place dans le combine mobile 14. Les 
informations sont 6chang6es bi later a lenient entre la 
carte SIM 22 et le combine mobile 14 (f l&ctie 24) , entre 
le combinfe mobile 14 et la station de base 16 (flfeche 

10 26), entre la station de base 16 et 1 1 equipement de 
messagerie 18 (flSche 28) et entre 1 'equipement de 
messagerie 18 et le reseau 54 (f l&che 30) . 

Pour authentifier la carte SIM et autoriser une 
communication, les Stapes (1) Sl (8) du proc6d§ d€crit 

15 dans le prgambule, sont ex6cut6es & 1' initiative de 
1' equipement mobile. 

Selon I 1 invention, la carte SIM 22 et le reseau 54 
sont compietees pour mettre en oeuvre le proc£d6 de 
gestion du risque. A cet effet, la carte SIM 22 et le 

20 reseau 54 sont completes chacun par un module dit de 
gestion du risque, reference 32 pour la carte et 34 
pour le serveur. 

Le module carte 32 contient les Elements relatifs & 
l'abonne, tandis que le module r&seau 34 contient les 

25 616ments qui sont n£cessaires au reseau 54 pour 
interpreter les informations fournies par le module 
carte et prendre une decision quant a 
1 'authentif ication a executer en fonction de certains 
criteres . 

30 Plus pr§cis6ment , la demande d 1 authentif ication 36 

de la carte par le reseau 54 par 1' envoi d'un nombre 
aieatoire NA & la carte 22 par 1 ' intermediaire du 
combine mobile 14, declenche les operations du module 
32 de la carte 22. Ce module analyse cette demande en 



fonction de crit&res relatifs a l^bonnS et prend une 
decision selon les Stapes du diagramme de la figure 2. 

Dans le cas oH le module 32 dfetecte un risque, un 
message devaluation du risque 38 est transmis au 
r£seau 54 et plus particuliSrement au module de gestion 
34 qui prend une dfecision selon les stapes du diagramme 
de la figure 3. Cette decision ou rfeponse est transmise 
^ la carte 22 par un message 40 qui a pour r€sultat, 
soit d'autoriser 1 'authentification de la carte selon 
la procedure habituelle, soit de bloquer cette 
authentification et plus g6n6ralement de bloquer la 
carte . 

Sur le diagramme de la figure 2, une demande 
d' authentification (6tape 70) de la carte par le 
terminal commence par la transmission a la carte d'un 
al6a ou nombre alSatoire NA selon la flSche 36 via le 
combinfe ME. Cette demande d 1 authentification est regue 
par la carte (6tape 72) pour fetre traitfie par le module 
de gestion du risque 32. 

Ce module de gestion 32 comprend principalement : 

- un registre d'6tat RMS pour indiquer l'etat de la 
carte, bloqufi ou non, (RMS 6tant l'acronyme de 
1« expression anglo-saxonne "Risk Management Status"), 

- un compteur CAC pour compter le nombre N de 
demandes d • authentification (CAC 6tant 1 1 acronyme de 
1" expression anglo-saxonne "Cumulative Authentication 
Counter") , 

- des comparateurs pour comparer la valeur N du 
compteur CAC a des seuils TO et Tl tels que TO < Tl. 

Dans le cas oH le registre RMS est a l'6tat bloqufe 
(6tape 74), 1 ■ authentification est refusfee (6tape 75) 
de sorte que le module de gestion 32 bloque la carte 
par un signal 58. 

Dans le cas ott le registre RMS n f est pas a l^tat 
bloqu6, cette demande d* authentification incr6mente le 




8 

compteur GAG (Etape 76) d'une unite. La valeur N 
resultant de cette incrementation est comparee (Etape 
78) au premier seuil TO. 

Si cette valeur incrEmentEe est infer ieure i TO, le 
5 module 32 calcule (Etape 80) le premier certificat 
cryptographique CC1 (aussi appelE cryptogramme) selon 
l'algorithme AL & partir de la valeur a 16a to ire NA. Ce 
certificat CC1 est transmis (56) au rEseau 54. 

Si cette valeur incrEmentEe est Egale ou supEr ieure 
10 Sl TO, elle est comparEe au deuxiEme seuil Tl (Etape 
80) . Si elle est Egale ou supErieure & Tl, le registre 
RMS est mis & I'Etat bloquE (6 tape 82) et 
l'authentif ication est refusEe selon 1*6 tape 76 de 
sorte que le module de gestion 32 blogue la carte par 
15 le signal 58. 

Si la valeur incrEmentEe est infEr ieure k Tl, le 
module de gestion Elabore (Etape 84) un message de 
demande d v Evaluation du risque et le transmet (Etape 
86) au rEseau 54 selon la flEche 38 pour y Etre traitE 
20 selon le diagr amine de la figure 3 . 

Par ailleurs, comme le deuxiEme seuil Tl n'est pas 
atteint, le blocage de la carte n'est pas envisage, de 
sorte que la carte calcule le certificat 
cryptographique CC1 (Etape 88) et le transmet (56) au 
25 rEseau 54. 

Le message de demande d 1 Evaluation du risque 38 est 
transmis au rEseau 54 selon le format SMS pour y Etre 
re<?u (Etapes 90 et 92) • De ce message sont extra its la 
valeur N du compteur CAC et le numEro d 1 identification 
30 ID du porteur de la carte SIM. 

L* Evaluation du risque est effectuee par l 1 Etape 96 
en fonction de la valeur N, du porteur de la carte et 
d'autres paramEtres spEcifiques 102. 

Si 1 9 Evaluation du risque est considErEe comme 
35 ElevEe par l'Etape 98, la decision est de bloquer 
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1' usage de la carte (6tape 100) en envoyant a la carte 
un message 40 de blocage. 

Si 1' Evaluation n'est pas consid£r&e comme 61ev6e, 
la d6cision est d^autoriser l 1 usage de la carte (6tape 
5 102) en envoyant & la carte un message 40 
d'autorisation. Ce message d f autorisation peut contenir 
d'autres 6 laments pour, par exemple, remettre a z6ro le 
compteur CAC ou y introduire un nombre d&termin6 par le 
module 34 du rfeseau. 

10 La description qui vient d'etre faite de 

l 1 invention montre que la mise en place de deux modules 
de gestion du risque , l'un 32 dans la carte SIM et 
I 1 autre 34 dans le r£seau, permet une souplesse de la 
gestion du risque, une partie par la carte & l'aide de 

15 param&tres simples & mettre en oeuvre (valeurs d'un 
compteur increments et de seuils TO et Tl) et l 1 autre 
partie par le r6seau en utilisant des param&tres plus 
sophist iqu£s qui peuvent §tre modifies facilement. 

La description ci-dessus montre qu'il est possible 

20 de d6f inir un proc6d6 qui comprend les Stapes suivantes 
dans la carte & puce felectronique 22 consistant 4 : 

(a) verifier (74) l'Stat bloqu6 ou non de la carte 
a puce Slectronique pour refuser (75) ou non la demande 
d f authentif ication ; 

25 (b) dans le cas d'une autorisation de la demande 

d'authentif ication, compter (76) le nombre N de 
demandes d f authent if ication de la carte a puce 
Slectronique (22, SIM) par le reseau (54), 

(c) comparer le nombre N de demandes 
30 d'authent if ication a un premier seuil TO, 

(d) calculer un certificat cryptograph ique si 
N < TO et le transmettre au r§seau, 

(e) comparer le nombre N Bl un deuxidme seuil Tl si 
N £ TO, 
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(f) mettre la carte & puce 61ectronique (22, SIM) Sl 
l«6tat bloqu§ (82 , 58) si N £ Tl, et 

(g) calculer un certificat cryptograph ique (88) et 
§ laborer un message de demande d' Evaluation du risque 

5 (86) et les transmettre (38, 56) au r€seau si 
TO < N 5 Tl. 

Les 6tapes ci-dessus sont compl£t6es dans le rfeseau 
par les Stapes suivantes consistant Sl : 

(h) analyser (94) le message de demande 
10 devaluation du risque transmis par la carte a puce 

Electron ique (22) , 

(i) evaluer (96, 102, 98) le risque en fonction des 
r€sultats de 1 • analyse selon l 1 6 tape pr6c£dente (h) et 
de param&tres sp&cifiques, et 

15 (j) 6 laborer (100, 104, 40) un message de r£ponse 

et le transmettre Sl la carte & puce filectronique (22). 

L* invention a 6t6 d£crite en supposant que le 
certificat cryptograph ique est calculfe Sl partir d'un 
nombre al&atoire NA mais il est clair que ce nombre 

20 al&atoire peut €tre remplacE par un nombre qui ne 
sera it pas al&atoire. 

Par ailleurs, l'exemple particulier qui a et6 
d&crit est relatif i la detection d'acc&s de caractfere 
frauduleux par leur nombre £lev& ; cependant, 

25 l 1 invention s R applique aussi a la detection d'autres 
conditions qui correspondraient a d'autres types 
d'acces qui constitueraient un risque pour l'op^rateur 
du r&seau tels que le d£passement d'un credit allou& & 
l'utilisateur d'une carte a pr6paiement« Dans ce cas, 

30 les seuils TO et Tl seraient des valeurs mon€taires 
tandis que le compteur serait un accumulateur des 
dgpenses effectu&es par l'utilisateur du combine. 
Ainsi, TO serait un seuil de d&penses autoris€es tandis 
que Tl serait un seuil au-delcL duquel les d€penses ne 

35 seraient plus autoris&es. 
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REVINDICATIONS 

1. Syst&me de gestion du risque dans un r£seau de 
t616phonie mobile 6qiiip£ d 1 ^ dispositif de service de 
messages (18), les combines mobiles (14) comportant 
chacun une carte Sl puce felectronique (22) (SIM) capable 
de calculer un certificat cryptograph igue 
d' authentif ication Sl partir d'une valeur fournie par le 
r£seau, caract6ris6 : 

- en ce que la carte & puce felectronique (22, SIM) 
comprend des moyens (32) pour autoriser ou non le 
calcul d«un certificat cryptographique et sa 
transmission (56) au r6seau lorsque certaines 
conditions sont remplies ou non et pour transmettre au 
r6seau un message (38) de demande devaluation du 
risque lorsque d'autres conditions sont remplies, et 

- en ce que le rfeseau (54) comprend des moyens (34) 
pour fevaluer ledit risque en fonction des informations 
contenues dans le message (38) de demande devaluation 
du risque et de paramStres spfecifiques Sl 1 'utilisateur 
du combing mobile (14, ME) et pour envoyer un message 
(40) auxdits moyens (32) de la carte a puce 
Slectronique pour autoriser ou non le calcul et la 
transmission du certificat cryptographique. 

2. Proc6d6 pour mettre en oeuvre le syst&me de 
gestion du risque selon la revendication 1, caract£ris£ 
en ce qu'il comprend, dans la carte & puce 61ectronique 
(22), les Stapes suivantes consistant & : 

(a) verifier (74) l»6tat bloquS ou non de la carte 
Sl puce 61ectronique pour refuser (75) ou non la demande 
d v authentif ication , 

(b) dans le cas d'une autorisation de la demande 
d 1 authentif ication, compter (76) le nombre (N) de 
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demand es d 1 autoidentification de la carte ft puce 
felectronique (22, SIM) par le reseau (54) , 

(c) comparer le n ombre (N) de demandes 
d ■ authentif ication ft un premier seuil TO, 
5 (d) calculer un certificat cryptographique si 

N < TO et le transmettre au r&seau, 

(e) comparer le nombre N & un deuxiftme seuil Tl si 
N * TO, 

(f) mettre la carte ft puce 61ectronique (22 , SIM) ft 
10 l«6tat bloqu6 (82, 58) si N £ Tl, et 

(g) calculer un certificat cryptographique (88) et 
^laborer un message de demande devaluation du risque 
(86) et les transmettre (38, 56) au rfeseau si 
TO < N £ Tl. 

15 

3. Proc6d6 selon la revendication 2, caract€ris6 en 
ce qu'il comprend, en outre, les stapes suivantes mises 
en oeuvre par le r6seau (54) consistant ft : 

(h) analyser (94) le message de demande 
20 devaluation du risque transmis par la carte ft puce 

£lectronique (22) , 

(i) fevaluer (96, 102, 98) le risque en fonction des 
rfesultats de !• analyse selon l'&tape pr6c€dente (h) et 
de param&tres sp6cifiques ft 1 •utilisateur du combing 

25 mobile, et 

(j) ^laborer (100, 104, 40) un message de rfeponse 
et le transmettre ft la carte ft puce Slectronique (22) . 

4. Procfedfe selon l'une des revendications 
30 prfecfedentes 2 ou 3, caractferisfe en ce que les nombres 

N, TO et Tl sont des valeurs mon&taires correspondant 
respect ivement ft une accumulation des dSpenses 
effectu6es en communications t€16phoniques, un premier 
seuil de d&penses autoris6es et un deux i 6m e seuil au- 
35 delft duquel les d£penses ne sont plus autorisSes. 
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